Você está visualizando atualmente Grandoreiro Banking Trojan Resurges, Impactando Mais de 1.500 Bancos em Todo o Mundo

Grandoreiro Banking Trojan Resurges, Impactando Mais de 1.500 Bancos em Todo o Mundo

Os autores da ameaça do banking trojan baseado no Windows, Grandoreiro, voltaram em uma campanha global desde março de 2024, após uma ação policial em janeiro. Os ataques de phishing em larga escala, provavelmente facilitados por outros criminosos cibernéticos por meio de um modelo de malware como serviço (MaaS), visam mais de 1.500 bancos em todo o mundo, abrangendo mais de 60 países na América Central e do Sul, África, Europa e no Indo-Pacífico, segundo a IBM X-Force.

Embora o Grandoreiro seja conhecido principalmente por seu foco na América Latina, Espanha e Portugal, a expansão provavelmente é uma mudança de estratégia após tentativas de fechar sua infraestrutura pelas autoridades brasileiras.

As melhorias significativas no próprio malware acompanham a ampliação do alcance do alvo, o que indica desenvolvimento ativo.

“Análises do malware revelaram grandes atualizações na descriptografia de strings e algoritmo gerador de domínio (DGA), bem como a capacidade de usar clientes Microsoft Outlook em hosts infectados para espalhar mais e-mails de phishing”, disseram os pesquisadores de segurança Golo Mühr e Melissa Frydrych.

Os ataques começam com e-mails de phishing que instruem os destinatários a clicarem em um link para visualizar uma fatura ou fazer um pagamento, dependendo da natureza do atrativo e da entidade governamental imitada nas mensagens.

Usuários que clicam no link são redirecionados para uma imagem de um ícone de PDF, levando finalmente ao download de um arquivo ZIP com o executável de carga útil do Grandoreiro.

A carga útil personalizada é artificialmente inflada para mais de 100 MB para evitar a detecção de softwares antimalware. Ele também é responsável por garantir que o host comprometido não esteja em um ambiente de sandbox, coletar dados básicos da vítima para um servidor de comando e controle (C2) e baixar e executar o principal banking trojan.

É importante ressaltar que a verificação também é feita para pular sistemas geolocalizados na Rússia, República Tcheca, Polônia e Holanda, bem como máquinas com Windows 7 nos EUA sem antivírus instalado.

O componente trojan inicia sua execução estabelecendo persistência por meio do Registro do Windows, após o que utiliza uma DGA retrabalhada para estabelecer conexões com um servidor C2 para receber mais instruções.

O Grandoreiro suporta uma variedade de comandos que permitem que os atores da ameaça assumam remotamente o controle do sistema, realizem operações de arquivos e ativem modos especiais, incluindo um novo módulo que coleta dados do Microsoft Outlook e abusa da conta de e-mail da vítima para enviar mensagens de spam a outros alvos.

“Para interagir com o cliente Outlook local, o Grandoreiro usa a ferramenta de Segurança do Outlook, um software usado para desenvolver complementos do Outlook”, disseram os pesquisadores. “O principal motivo para isso é que o Guarda de Modelo de Objeto do Outlook aciona alertas de segurança se detectar acesso a objetos protegidos”.

Ao usar o cliente Outlook local para spam, o Grandoreiro pode se espalhar através das caixas de entrada de vítimas infectadas via e-mail, o que provavelmente contribui para a grande quantidade de spam observada com o Grandoreiro.